Ciao
ho pascolato per la rete alla ricerca di configurazioni già fatte da prendere spunto ma non sono stato buono.
Devo fare una cosa che per molti di voi è banale, per me è delirante perchè non ci riesco.
Sede A
C837 12.4(17)
ATM0.1 ip statico pubblico mettiamo 100.100.100.1
ETH0 192.168.1.254 LAN
Sede B:
C2611 12.3(24) IP FRW PLUS 3DES
ATM0.1 ip statico pubblico 200.200.200.1
ETH0/0 192.168.0.254 LAN
ETH0/1 public range /29
Io devo unire le due lan.
Dopo farò un post con un mio ragionamento sugli AIM vpn... ma per ora
vorrei limitarmi a farla in 3DES/SHA1 (l'837 la cifra via hw, il 2611 potrebbe farlo con la AIM VPN aggiuntiva).
Ho seguito alcuni tutorial, ma poi mi sono anche incasinato con il route map.
questo l'ho trovato interessante ma non mi ha dato risultato:
http://www.linuxhomenetworking.com/cisc ... -cisco.htm
Queste sono le config parziali:
C2611:
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service internal
service sequence-numbers
!
hostname xxxxxxxxxxxxxxx
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096 notifications
no logging console
no logging monitor
enable password 7 xxxxxxxxxxxx
!
clock timezone CET 1
no aaa new-model
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip domain round-robin
ip domain name kpnqwest.it
ip name-server 217.97.32.2
ip name-server 217.97.32.7
ip dhcp excluded-address 192.168.0.0 192.168.0.10
ip dhcp excluded-address 192.168.0.250 192.168.0.254
!
ip dhcp pool SANROMUALDO
network 192.168.0.0 255.255.255.0
default-router 192.168.0.254
dns-server 212.97.32.2 212.97.32.7
netbios-node-type h-node
domain-name network.local
!
no ip bootp server
ip inspect audit-trail
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 500
ip inspect one-minute high 600
ip inspect udp idle-time 15
ip inspect tcp idle-time 1800
ip inspect tcp finwait-time 1
ip inspect tcp synwait-time 15
ip inspect tcp max-incomplete host 300 block-time 0
ip audit attack action alarm drop reset
ip audit po max-events 100
ip audit signature 2004 disable
ip audit name AUDIT info action alarm
ip audit name AUDIT attack action alarm drop reset
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
ipv6 unicast-routing
ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
memory sanity all
! login rimossi
!
!
ip tcp selective-ack
ip tcp synwait-time 10
ip ssh time-out 90
!
!
!
!
!
interface Null0
no ip unreachables
!
interface Tunnel0
no ip address
no ip redirects
no ip unreachables
ipv6 unnumbered Ethernet0/0
tunnel source ATM0/0.1
tunnel mode ipv6ip 6to4
!
interface ATM0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0/0.1 point-to-point
description ADSL
mtu 1500
bandwidth 640
ip address xxxxxx
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
!
interface Ethernet0/0
description LAN Interface
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
no ip mroute-cache
full-duplex
no cdp enable
hold-queue 100 in
hold-queue 100 out
!
interface Ethernet0/1
description Public WAN Subnet /29
ip address xxxxxxxxxxxxxxx removed
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip mroute-cache
shutdown
full-duplex
no cdp enable
hold-queue 100 in
hold-queue 100 out
!
interface Virtual-Template1
ip unnumbered Ethernet0/0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
peer default ip address dhcp-pool SANROMUALDO
ppp encrypt mppe auto required
ppp authentication ms-chap-v2
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 1200
ip nat translation udp-timeout 100
ip nat translation finrst-timeout 15
ip nat translation syn-timeout 45
ip nat translation icmp-timeout 120
ip nat inside source list 102 interface ATM0/0.1 overload
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0.1
!
!
no logging trap
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
no cdp run
ipv6 route 2002::/16 Tunnel0
ipv6 route ::/0 2002:C058:6301::1
!
snmp-server community public RO
snmp-server ifindex persist
snmp-server location S. Romualdo (RA) - ITALY
snmp-server contact [email protected]
!
!
!
!
banner login ^C
You are connected to $(hostname).$(domain) on line $(line).
If you are not authorized to access this system, disconnect now.
THIS IS FOR AUTHORIZED USE ONLY
Unauthorized or improper use of this system may result in
administrative disciplinary action and civil and criminal penalties.
By continuing to use this system you indicate your awareness of and consent
to these terms and conditions of use. LOG OFF IMMEDIATELY if you do not
agree to the conditions stated in this warning.
Network Administrator: [email protected]
^C
!
line con 0
login local
transport output telnet
stopbits 1
line aux 0
transport preferred none
transport output telnet
stopbits 1
line vty 0 4
login local
transport preferred ssh
transport input ssh
transport output all
flowcontrol software
!
scheduler max-task-time 5000
ntp clock-period 17208742
ntp server 192.43.244.18
ntp server 193.204.114.105
!
end
La config del 837 è la seguente:
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service internal
service sequence-numbers
!
hostname xxxxxxxxxxx
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered notifications
no logging console
no logging monitor
enable password 7 xxxxxxxxxxx
!
no aaa new-model
clock timezone CET 1
no ip source-route
no ip gratuitous-arps
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.249 192.168.1.254
ip dhcp excluded-address 192.168.1.0 192.168.1.99
!
ip dhcp pool SPADHAUSEN-MEZZANO
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 212.97.32.2 212.97.32.7
netbios-node-type h-node
domain-name spadhausen.local
!
!
ip cef
ip domain round-robin
no ip domain lookup
ip domain name kpnqwest.it
ip name-server 217.97.32.2
ip name-server 217.97.32.7
no ip bootp server
ip multicast-routing
ip inspect log drop-pkt
ip inspect audit-trail
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 500
ip inspect one-minute high 600
ip inspect udp idle-time 15
ip inspect tcp idle-time 1800
ip inspect tcp finwait-time 1
ip inspect tcp synwait-time 15
ip inspect tcp max-incomplete host 300 block-time 0
ip inspect name FRW-DMZ ftp audit-trail on
ip inspect name FRW-DMZ pop3 audit-trail on
ip inspect name FRW-DMZ icmp audit-trail on
ip inspect name FRW-DMZ esmtp audit-trail off
ip inspect name FRW-DMZ http
ip inspect name FRW ftp audit-trail on
ip inspect name FRW icmp audit-trail on
ip inspect name FRW ssh
ip inspect name FRW ftps
ip inspect name FRW fragment maximum 256 timeout 1
ip ips signature 2004 0 disable
ip ips signature 2001 0 disable
ip ips signature 2000 0 disable
ip ips name AUDIT
login block-for 120 attempts 5 within 60
login on-failure log
ipv6 unicast-routing
ipv6 general-prefix WAN 6to4 ATM0.35
ipv6 cef
!
crypto pki trustpoint TP-self-signed-1683529703
subject-name cn=IOS-Self-Signed-Certificate-1683529703
revocation-check none
rsakeypair TP-self-signed-1683529703
!
!
memory sanity all
!login rimossi!
!
ip tcp selective-ack
ip tcp synwait-time 10
ip ssh time-out 90
ip ssh version 2
!
!
!
!
interface Tunnel0
no ip address
no ip redirects
no ip unreachables
ipv6 unnumbered Ethernet0
tunnel source ATM0.35
tunnel mode ipv6ip 6to4
!
interface Null0
no ip unreachables
!
interface Ethernet0
description LAN FastEthernet Link
bandwidth 10000000
ip address 192.168.1.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
no ip mroute-cache
ipv6 address WAN 0:0:0:1::/64 eui-64
no cdp enable
hold-queue 100 in
hold-queue 100 out
!
interface Ethernet2
description DMZ Link for Internet exposed Servers
ip address 172.16.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect FRW-DMZ in
ip ips AUDIT in
ip virtual-reassembly
no ip mroute-cache
ipv6 address WAN 0:0:0:1::/64 eui-64
no cdp enable
hold-queue 100 in
hold-queue 100 out
!
interface ATM0
bandwidth 608
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip mroute-cache
atm vc-per-vp 64
atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.35 point-to-point
description Point to Point Uplink
bandwidth 1280
ip address xxxxxxxxxxx
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect FRW in
ip ips AUDIT in
ip virtual-reassembly max-fragments 16 max-reassemblies 64
no ip mroute-cache
crypto map VPN-from-SanRomualdo
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.35
!
no ip http server
no ip http secure-server
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 1200
ip nat translation udp-timeout 100
ip nat translation finrst-timeout 15
ip nat translation syn-timeout 45
ip nat translation icmp-timeout 120
ip nat inside source list 102 interface ATM0.35 overload
!
!
logging history debugging
logging trap debugging
logging facility syslog
logging source-interface Ethernet0
logging 192.168.1.2
access-list 102 permit ip 172.16.0.0 0.0.0.255 any
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
snmp-server community public RO
snmp-server ifindex persist
snmp-server contact [email protected]
no cdp run
ipv6 route 2002::/16 Tunnel0
ipv6 route ::/0 2002:C058:6301::1
!
!
!
control-plane
!
banner login ^C
You are connected to $(hostname).$(domain) on line $(line).
If you are not authorized to access this system, disconnect now.
THIS IS FOR AUTHORIZED USE ONLY
Unauthorized or improper use of this system may result in
administrative disciplinary action and civil and criminal penalties.
By continuing to use this system you indicate your awareness of and consent
to these terms and conditions of use. LOG OFF IMMEDIATELY if you do not
agree to the conditions stated in this warning.
Network Administrator: [email protected]
^C
!
line con 0
login local
no modem enable
transport output telnet
stopbits 1
line aux 0
login local
transport preferred none
transport output telnet
stopbits 1
line vty 0 4
login local
transport preferred ssh
transport input ssh
transport output all
flowcontrol software
!
scheduler max-task-time 5000
sntp server 193.204.114.105
sntp server 192.43.244.18
end
VPN tra due Router: Lan-to-Lan
Moderatore: Federico.Lagni
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Dott. Spadoni
Network Administrator
Network Administrator
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Non so per quale miracolo, dopo pochi minuti dal post sono riuscito a stabilire la connessione tra le due lan.
Ci si pinga tranquillamente, ma piu di li non si va.....
se faccio un RDP dalla rete 1 alla rete2, SYN SENT, e stop. muore li.
anche il \\ip-rete-2 non funziona.
Misteriosamente appena tirata su la VPN, un host nella rete2 che spara fuori pacchetti SNMP per monitorare tutto, ha smesso di collegarsi a 2 server esterni per nessun motivo particolare.
ora aggiungo qui le parti di conf nuove:
SUL 2611:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 5
crypto isakmp key PASSWORD address REMOTOIP
!
!
crypto ipsec transform-set VPN-3DES esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
set peer REMOTO IP
set transform-set VPN-3DES
match address 110
e sul 837:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 5
crypto isakmp key PASSWORD address REMOTOIP
!
!
crypto ipsec transform-set VPN-3DES esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
set peer REMOTOIP
set transform-set VPN-3DES
match address 110
Forse devo lavorare su un MTU ? ma non è un tunnel GRE, è un IPSEC se non ho dormito....
Ci si pinga tranquillamente, ma piu di li non si va.....
se faccio un RDP dalla rete 1 alla rete2, SYN SENT, e stop. muore li.
anche il \\ip-rete-2 non funziona.
Misteriosamente appena tirata su la VPN, un host nella rete2 che spara fuori pacchetti SNMP per monitorare tutto, ha smesso di collegarsi a 2 server esterni per nessun motivo particolare.
ora aggiungo qui le parti di conf nuove:
SUL 2611:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 5
crypto isakmp key PASSWORD address REMOTOIP
!
!
crypto ipsec transform-set VPN-3DES esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
set peer REMOTO IP
set transform-set VPN-3DES
match address 110
e sul 837:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 5
crypto isakmp key PASSWORD address REMOTOIP
!
!
crypto ipsec transform-set VPN-3DES esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
set peer REMOTOIP
set transform-set VPN-3DES
match address 110
Forse devo lavorare su un MTU ? ma non è un tunnel GRE, è un IPSEC se non ho dormito....
Dott. Spadoni
Network Administrator
Network Administrator
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Ho fatto progressi.
Ho pascolato alla ricerca di post, ma ovviamente senza risultati
Ho provato sia settando mtu a 1300 o 1400 da entrambi i lati ma senza esito.
Dalla sede col 837 riesco ad andare in RDP sulla sede con il 2611, ma non viceversa.
Pingo qualunque cosa dentro la rete (tranne un AP, vabè) ma dalla rete con 837 vado di là con rdp e web, ma non viceversa.
che posso controllare?
Ho pascolato alla ricerca di post, ma ovviamente senza risultati
Ho provato sia settando mtu a 1300 o 1400 da entrambi i lati ma senza esito.
Dalla sede col 837 riesco ad andare in RDP sulla sede con il 2611, ma non viceversa.
Pingo qualunque cosa dentro la rete (tranne un AP, vabè) ma dalla rete con 837 vado di là con rdp e web, ma non viceversa.
che posso controllare?
Dott. Spadoni
Network Administrator
Network Administrator
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Mi piace... scrivo i post, mi rispondo da solo...
vabè
vabè
Dott. Spadoni
Network Administrator
Network Administrator
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
oh ma proprio nessuno che abbia mai considerato questo post?
io a distanza di anni non ho mica ancora risolto. sono l'unico sul pianeta che non riesce a far funzionare bene le vpn lan to lan ipsec ebastA?
io a distanza di anni non ho mica ancora risolto. sono l'unico sul pianeta che non riesce a far funzionare bene le vpn lan to lan ipsec ebastA?
Dott. Spadoni
Network Administrator
Network Administrator
-
fabry6210
- n00b
- Messaggi: 4
- Iscritto il: sab 30 dic , 2006 2:44 pm
ciao, strano che nessuno ti abbia mai risposto, comunque anche io sto impazzendo con una configurazione tipo la tua solo che io ho da una parte un router cisco e dall'altra un server linux con distro endian firewall.
Guardando la tua conf non vedo la acl 110, non l'hai messa apposta ?
Guardando la tua conf non vedo la acl 110, non l'hai messa apposta ?
-
kese87
- n00b
- Messaggi: 23
- Iscritto il: sab 11 apr , 2009 8:40 pm
Ciao, sono nuovo anzi nuovissimo del campo, non mi sento ne di aiutarti ne di darti dritte in quando non sarei in grado, ancora ho non sono riuscito ad esporre alcune porte all'esterno senza che mi cada la vpn. anzi se mi sai dare una dritta 
veniamo al problema, io ho risolto con :
http://www.ciscoforums.it/viewtopic.php?t=7840
anche a me non saliva la vpn ma seguendo questo topic sono riuscito a farla andare e con un po di notti insonni.
spero di esserti stato di aiuto
vediamo se almeno tra incompetenti ci diamo una mano senza offesa ovviamente , io sono il primo tra gli incompetenti
ciao ciao[/quote]
veniamo al problema, io ho risolto con :
http://www.ciscoforums.it/viewtopic.php?t=7840
anche a me non saliva la vpn ma seguendo questo topic sono riuscito a farla andare e con un po di notti insonni.
spero di esserti stato di aiuto
vediamo se almeno tra incompetenti ci diamo una mano
senza offesa ovviamente , io sono il primo tra gli incompetenti ciao ciao[/quote]
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Niente
io NON sono in grado di fare una vpn
da A a B pingo e basta
da B ad A funziona perfettamente
ho riprovato con un C877 e un 837 ma non c'è verso
nulla di nulla
ROUTER A
crypto isakmp policy 20
encr 3des
auth pre-share
hash sha
group 2
crypto isakmp key PPPPPP address xxxxxxxxx
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto map VPN-SANROM 20 ipsec-isakmp
set peer xxxxxxxx
set transform-set 3DES-SHA
match address 102
NAT
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 10.0.1.0 0.0.0.255 any
IPSEC
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ROUTER B
crypto isakmp policy 10
encr 3des
auth pre-share
hash sha
group 2
crypto isakmp key PPPPPPP address zzzzzzzzzzzz
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto map 3desvpn 10 ipsec-isakmp
set peer zzzzzzzzzz
set transform-set 3DES-SHA
match address 103
NAT
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any
IPSEC
access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
io NON sono in grado di fare una vpn
da A a B pingo e basta
da B ad A funziona perfettamente
ho riprovato con un C877 e un 837 ma non c'è verso
nulla di nulla
ROUTER A
crypto isakmp policy 20
encr 3des
auth pre-share
hash sha
group 2
crypto isakmp key PPPPPP address xxxxxxxxx
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto map VPN-SANROM 20 ipsec-isakmp
set peer xxxxxxxx
set transform-set 3DES-SHA
match address 102
NAT
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 10.0.1.0 0.0.0.255 any
IPSEC
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ROUTER B
crypto isakmp policy 10
encr 3des
auth pre-share
hash sha
group 2
crypto isakmp key PPPPPPP address zzzzzzzzzzzz
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto map 3desvpn 10 ipsec-isakmp
set peer zzzzzzzzzz
set transform-set 3DES-SHA
match address 103
NAT
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any
IPSEC
access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Dott. Spadoni
Network Administrator
Network Administrator
-
tester77
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
Ciao,
ti posto la conf di una vpn site-2-site testata e funzionante tra la sede locale dotata di un router cisco e la sede remota dotata di un firewall ipcop (quindi potrebbe essere anche utile a chi aveva problemi con endian firewall).
E' attivo anche il servizio ddns funzionante.
Ovviamente qui posto solo la conf. del lato locale dove c'è il router cisco.
NOTA: gli algoritmi di crittografia e di hashing devono essere uguali sui due peer! IPCOP permette di settare i vari parametri via web (kiave condivisa, 3des, sha etc...)
SEDE LOCALE:
Gateway: Cisco 857-k9 IOS 12.4
subnet: 192.168.1.0 /24
SEDE REMOTA:
Gateway: IPCOP
subnet: 192.168.100.100/24
sh run
Building configuration...
Current configuration : 2831 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip domain name tester77.dyndns.org
ip name-server 151.99.125.1
ip ddns update method my_ddns
HTTP
add http://tester77:[email protected]. ... h>&myip=<a>
interval maximum 28 0 0 0
!
!
!
!
username tester privilege 15 secret 5 $1$/GRA$nlFZEFtQ31dsdffggR5qUwT81
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address ip_wan_sede-remota
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map my_MAP 1 ipsec-isakmp
description Tunnel to ip_wan_sede-remota
set peer ip_wan_sede-remota
set transform-set ESP-3DES-SHA
match address 100
!
!
!
interface Loopback0
ip address 10.0.0.1 255.255.255.0
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
no snmp trap link-status
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.10 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip ddns update hostname tester77.dyndns.org
ip ddns update my_ddns host tester77.dyndns.org
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password 7 094D42001A0016161800
ppp pap sent-username aliceadsl password 7 0207085208030E255F42
crypto map my_MAP
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source route-map RMAP_1 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
password 7 0458lo2150C2E
login local
transport input ssh
!
scheduler max-task-time 5000
end
ti posto la conf di una vpn site-2-site testata e funzionante tra la sede locale dotata di un router cisco e la sede remota dotata di un firewall ipcop (quindi potrebbe essere anche utile a chi aveva problemi con endian firewall).
E' attivo anche il servizio ddns funzionante.
Ovviamente qui posto solo la conf. del lato locale dove c'è il router cisco.
NOTA: gli algoritmi di crittografia e di hashing devono essere uguali sui due peer! IPCOP permette di settare i vari parametri via web (kiave condivisa, 3des, sha etc...)
SEDE LOCALE:
Gateway: Cisco 857-k9 IOS 12.4
subnet: 192.168.1.0 /24
SEDE REMOTA:
Gateway: IPCOP
subnet: 192.168.100.100/24
sh run
Building configuration...
Current configuration : 2831 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip domain name tester77.dyndns.org
ip name-server 151.99.125.1
ip ddns update method my_ddns
HTTP
add http://tester77:[email protected]. ... h>&myip=<a>
interval maximum 28 0 0 0
!
!
!
!
username tester privilege 15 secret 5 $1$/GRA$nlFZEFtQ31dsdffggR5qUwT81
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address ip_wan_sede-remota
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map my_MAP 1 ipsec-isakmp
description Tunnel to ip_wan_sede-remota
set peer ip_wan_sede-remota
set transform-set ESP-3DES-SHA
match address 100
!
!
!
interface Loopback0
ip address 10.0.0.1 255.255.255.0
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
no snmp trap link-status
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.10 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip ddns update hostname tester77.dyndns.org
ip ddns update my_ddns host tester77.dyndns.org
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password 7 094D42001A0016161800
ppp pap sent-username aliceadsl password 7 0207085208030E255F42
crypto map my_MAP
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source route-map RMAP_1 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
password 7 0458lo2150C2E
login local
transport input ssh
!
scheduler max-task-time 5000
end
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Negativo
non funziona
non so che cosa dirti
io sarò l'unico sfigato nel mondo che non sa fare una ipsec lan to lan
come ho detto è dal 2005 che ci provo ma non funziona
da B verso A faccio tutto perfettamente
da A verso B faccio ping e connssioni ssh. punto nient'altro.
Se faccio un tunnel GRE+IPSEC, ipsec si alza, poi dopo va down, e rimane attivo il tunnel gre e basta (che funziona ma non è cifrato)
non funziona
non so che cosa dirti
io sarò l'unico sfigato nel mondo che non sa fare una ipsec lan to lan
come ho detto è dal 2005 che ci provo ma non funziona
da B verso A faccio tutto perfettamente
da A verso B faccio ping e connssioni ssh. punto nient'altro.
Se faccio un tunnel GRE+IPSEC, ipsec si alza, poi dopo va down, e rimane attivo il tunnel gre e basta (che funziona ma non è cifrato)
Dott. Spadoni
Network Administrator
Network Administrator
-
tester77
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
Sicuro che il provider che hai non blocca qlk porta? 4500 udp ad esempio...
Fai una prova veloce settando la vpn lan2lan con la sdm di cisco, ha dei wizard ke non saranno il massimo ma almeno ti aiutano con la configurazione che poi puoi riaggiustare in seguito.
Fai una prova veloce settando la vpn lan2lan con la sdm di cisco, ha dei wizard ke non saranno il massimo ma almeno ti aiutano con la configurazione che poi puoi riaggiustare in seguito.
maggiore81 ha scritto:Negativo
non funziona
non so che cosa dirti
io sarò l'unico sfigato nel mondo che non sa fare una ipsec lan to lan
come ho detto è dal 2005 che ci provo ma non funziona
da B verso A faccio tutto perfettamente
da A verso B faccio ping e connssioni ssh. punto nient'altro.
Se faccio un tunnel GRE+IPSEC, ipsec si alza, poi dopo va down, e rimane attivo il tunnel gre e basta (che funziona ma non è cifrato)
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
Il provider non blocca nulla
sono connessioni business kpnqwest libere al 100%
per quanto concerne SDM, non ce l'ho in quanto amo la CLI
sono connessioni business kpnqwest libere al 100%
per quanto concerne SDM, non ce l'ho in quanto amo la CLI
Dott. Spadoni
Network Administrator
Network Administrator
-
tester77
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
Mi hai detto che per un attimo il tunnel sembra andare su per poi cadere. Puoi postare uno show crypto session ???maggiore81 ha scritto:Il provider non blocca nulla
sono connessioni business kpnqwest libere al 100%
per quanto concerne SDM, non ce l'ho in quanto amo la CLI
P.s.: ti sei accertato che gli indirizzi delle sottoreti private e remote siano diversi???
Es:
LAN sede 1: 192.168.1.0 /24
LAN sede 2: 192.168.100.0/24
P.s.2: hai fatto la prova anche con un gre over ipsec?
-
maggiore81
- Cisco pathologically enlightened user
- Messaggi: 216
- Iscritto il: gio 15 feb , 2007 8:34 pm
- Località: Ravenna - ITALY -
- Contatta:
tester77 ha scritto:Mi hai detto che per un attimo il tunnel sembra andare su per poi cadere. Puoi postare uno show crypto session ???maggiore81 ha scritto:Il provider non blocca nulla
sono connessioni business kpnqwest libere al 100%
per quanto concerne SDM, non ce l'ho in quanto amo la CLI
P.s.: ti sei accertato che gli indirizzi delle sottoreti private e remote siano diversi???
Es:
LAN sede 1: 192.168.1.0 /24
LAN sede 2: 192.168.100.0/24
P.s.2: hai fatto la prova anche con un gre over ipsec?
Mi trovo in due situazioni:
a) gre + ipsec tutto va perfettamente, ma la crypto se riavvio il router va su, poi dopo un tot (secondo me il lifetime del tunnel) va giu. il tunnel gre funziona e i collegamenti di rete vanno da A verso B e viceversa ma la sessione non è cifrata.
b) solo ipsec. è sempre su stabile (senza tunnel gre) ma da A verso B non funziona (anni che è cosi)
Dott. Spadoni
Network Administrator
Network Administrator
